Anthropic暂缓发布Claude Mythos模型 因其发现数千个零日漏洞
Anthropic公司宣布,其最新通用AI模型Claude Mythos Preview将仅向少数选定企业开放,原因是该模型在测试中发现数千个关键软件漏洞,涵盖主流操作系统、浏览器及开源软件。
据Anthropic透露,Claude Mythos Preview在每种主要操作系统和浏览器中均发现高安全等级漏洞。这些漏洞中许多已存在10至20年,最古老的为OpenBSD系统中一个27年前的漏洞,该系统以高安全性着称。此外,模型还识别出FFmpeg媒体库16年历史漏洞、FreeBSD操作系统的17年远程代码执行漏洞,以及Linux内核中的多个缺陷。
该模型还发现全球广泛使用的加密协议漏洞,包括TLS、AES-GCM和SSH。同时,Web应用中的跨站脚本、SQL注入、跨站请求伪造等漏洞也被识别,其中后者常被用于钓鱼攻击。
Anthropic表示,已发现漏洞中99%尚未被修补,因此公司选择暂不公开技术细节,以防止被恶意行为者利用。公司警告称,随着AI技术快速进步,类似能力可能迅速扩散至缺乏安全管控的主体。
为应对风险,Anthropic于周二启动Project Glasswing项目,联合包括亚马逊云服务、苹果、谷歌、微软、NVIDIA、JPMorgan、Cisco及Linux基金会等40多家机构,利用Claude Mythos Preview能力进行防御性漏洞挖掘,并与合作伙伴共享数据,提前修补潜在威胁。
Anthropic强调,尽管AI有望在未来大幅提升软件安全,但过渡期仍充满挑战。公司表示,防御能力最终将占主导,全球软件系统将变得更安全,但这一过程可能需要数年时间。
相关:Anthropic发布Claude Code Security后网络安全股下跌
编辑点评
此事件凸显AI技术在网络安全领域的双重性:既是强大的防御工具,也可能被滥用为攻击武器。Claude Mythos发现的数千个零日漏洞,特别是那些存在数十年且仍未修补的缺陷,暴露了全球软件基础设施的脆弱性。AI的自动化漏洞检测能力将极大提升安全补丁效率,但其扩散也可能加速网络攻击的智能化。Project Glasswing的跨行业协作模式具有示范意义,标志着AI安全治理从单体厂商向生态协同转变。未来,AI驱动的漏洞挖掘与修复将重塑全球网络安全格局,企业需加快建立AI安全响应机制。同时,各国监管机构应考虑制定AI漏洞披露与管控框架,以平衡安全与透明。此事件对全球供应链安全、金融系统稳定及关键基础设施防护具有长远影响。